Cyber et domotique

Dossier : CybersécuritéMagazine N°753 Mars 2020
Par Mickael KARATEKIN

Avec la domo­tique, la cyber se con­voque dans le quo­ti­di­en des par­ti­c­uliers (et ce n’est pas de la science-fiction).

Un brief sim­ple et digne d’un scé­nario de film d’action : « Vous êtes devant une mai­son fer­mée. Dans le garage, une voiture flam­bant neuve de la mar­que Tes­la, dont la clef est dans un cof­fre-fort à l’étage. La clef du cof­fre ? enreg­istrée dans un ordi­na­teur portable à l’intérieur de la mai­son. La mai­son est sous alarme, bien sûr, avec cap­teurs d’ouverture de porte, caméra wifi, etc. » Ce brief est don­né, en ce 19 juin 2019, à la Mai­son de la Chimie, à l’occasion du Hack in Paris, événe­ment inter­na­tion­al annuel de cyber­sécu­rité, devant une mai­son de poupée qui représente la mai­son en ques­tion : et les par­tic­i­pants à cet ate­lier « mai­son de poupée con­nec­tée » ont pour objec­tif d’être les pre­miers à sor­tir la Tes­la sans déclencher l’alarme.

Si tout l’environnement a été minia­tur­isé pour l’exercice du 19 juin 2019, les équipements sont bien réels et les tech­nolo­gies exacte­ment celles qu’on retrou­ve dans une mai­son sous alarme. Bien sûr l’imaginaire de la Tes­la pro­jette les par­tic­i­pants dans un autre monde, mais tous les élé­ments sont d’une banal­ité tech­nologique à la portée du grand pub­lic ou des PME : une porte de garage avec une com­mande d’ouverture UHF (433 MHz), des con­trôles d’accès NFC, des ordi­na­teurs et iPhone sous wifi, des caméras wifi et des cap­teurs d’intrusion com­mu­ni­quant avec la cen­trale de l’alarme. Rien qui ne puisse s’acheter chez Dar­ty ou être instal­lé par des pro­fes­sion­nels de sys­tèmes d’alarme. D’ailleurs l’idée de la con­fig­u­ra­tion du garage nous est venue à par­tir d’une alarme réelle d’une moto personnelle.

Hacker une maison connectée pour voler une voiture : un simple challenge pour ingénieur

Le chal­lenge ne repose d’ailleurs pas tant sur la mise en œuvre de prouess­es tech­niques, que sur la mise en œuvre d’une stratégie d’attaque suiv­ant un chem­ine­ment logique : vous êtes devant une mai­son affichant un stick­er wifi « mai­son con­nec­tée » et vous réfléchissez par quel biais l’attaquer pour arriv­er à vos fins. Sachant que les faib­less­es tech­nologiques aux­quelles vous allez vous con­fron­ter n’ont rien de très dif­férent de ce que l’on trou­ve dans la vraie vie : des clefs wifi aux pro­to­coles insuff­isam­ment sécurisés, des iPhones qui sont très « bavards » quand ils se recon­nectent régulière­ment au wifi et des pro­to­coles NFC insuff­isam­ment chiffrés qui peu­vent être recopiés, de telle sorte qu’avec un sim­ple smart­phone grand pub­lic sous Android vous pour­rez ensuite leur­rer le con­trôle d’accès et ouvrir votre porte de garage. Et les défis à relever (clon­er un badge de porte, pirater un wifi et dés­ac­tiv­er le sys­tème d’alarme, accéder à des don­nées sur un ordi­na­teur, dés­ac­tiv­er une caméra et inter­cepter le sys­tème radio) peu­vent tous être faits à l’aide d’un sim­ple ordi­na­teur portable, d’un smart­phone grand pub­lic (sous Android) et d’un peu de logique. Faut-il être hack­er pro­fes­sion­nel pour ce faire ? C’est vrai que l’équipe gag­nante qui a réus­si à vol­er la Tes­la en 45 mn était com­posée de hack­ers éthiques pro­fes­sion­nels d’une grande entre­prise. Mais d’autres équipes qui ont réus­si le chal­lenge en une heure étaient sim­ple­ment com­posées d’ingénieurs réseaux juste un peu « geeks ».

maison sous alarme : commandes de porte en UHF, contrôle d’accès NFC, alarmes et capteurs d’intrusion connectés, caméra wifi, etc.
Si tout est minia­tur­isé dans une mai­son de poupée, pour l’occasion de l’atelier du Hack in Paris, les équipements sont bien réels et les tech­nolo­gies celles qu’on retrou­ve dans une mai­son sous alarme : com­man­des de porte en UHF, con­trôle d’accès NFC, alarmes et cap­teurs d’intrusion con­nec­tés, caméra wifi, etc.

La faible maturité de la domotique en termes de protection cyber est problématique

Sans entr­er dans des scé­nar­ios de sci­ence-fic­tion, la domo­tique cou­vre déjà des champs très larges de notre quo­ti­di­en : con­trôle d’accès (badges sans con­tact), ouver­ture de portes (garage, voiture, etc.) et inter­phones, alarmes sans fil, cap­teurs domo­tiques, drones, abon­nements urbains (cartes Vélib’, Autolib’, Nav­i­go, etc.), réseaux cel­lu­laires (FSM, DECT), bureau­tique sans fil (souris, claviers, casques), etc. Or cette inno­va­tion du quo­ti­di­en ne s’est pas tou­jours accom­pa­g­née d’une forte sécuri­sa­tion, alors même que les équipements présen­tent des vul­néra­bil­ités directe­ment matérielles (capac­ité à lire des infos ou hack­er directe­ment les puces élec­tron­iques), logi­cielles (pas de pro­tec­tion con­tre des attaques DDoS, mots de passe par défaut jamais changés à l’installation) ou liées aux com­mu­ni­ca­tions avec l’extérieur (pro­to­coles radio util­isés trop peu sécurisés ou mal util­isés). Et s’attaquer à ces vul­néra­bil­ités n’est pas réservé aux agences de ren­seigne­ment, mais peut se faire via des matériels grand pub­lic. Sans compter que cer­tains matériels con­nec­tés instal­lés ne font l’objet d’aucun suivi dans le temps. Une sim­ple vis­ite sur le moteur de recherche Shodan per­met de visu­alis­er l’étendu du parc d’objets de votre domi­cile, con­nec­tés et acces­si­bles via Inter­net simplement. 

De la même façon que pour des sys­tèmes d’information clas­siques, les objets con­nec­tés du quo­ti­di­en devraient pour­tant être l’objet de cyber­sécu­rité ren­for­cée : sécu­rité by design de la part des con­struc­teurs, instal­la­tions s’assurant de la mise en œuvre de bonnes pra­tiques (ne pas laiss­er des login / mots de passe « admin » con­fig­urés par défaut), prise en compte au fil de l’eau par les con­struc­teurs des pub­li­ca­tions de failles de vul­néra­bil­ité faites par les chercheurs et hack­ers, et appli­ca­tion des cor­rec­tifs ; et enfin, pour les entre­pris­es, le réflexe de tester sys­té­ma­tique­ment les sys­tèmes instal­lés (à l’aide notam­ment d’audits visant à con­trôler le code source, le sys­tème, la con­fig­u­ra­tion, accom­pa­g­nés de tests d’intrusion) pour véri­fi­er notam­ment la sécu­rité de l’installation des équipements.

Poster un commentaire